Google宣布攻破SHA-1，從此SHA-1不再安全！

作者｜Marc Stevens等

SHA-1等加密散列函數可謂加密學家手中的瑞士軍刀。無論是瀏覽器安全保護、代碼庫管理乃至檢測存儲介質的重複文件，散列技術都在其中發揮著重要作用。散列函數能夠將大量數據壓縮為體積更小的消息摘要。作為一項被廣泛使用的加密方案，其最基本的要求就是在當前計算能力上無法找到摘要相同的兩條消息。然而隨著時間的推移，這一要求很可能在針對散列函數數學基礎的攻擊或者計算能力提升等因素的衝擊之下不再具有保障。

時至今日，距離SHA-1的最初發布已經過去了十年，我們正式公布第一套可實現碰撞的實用性技術方案。這套方案代表著阿姆斯特丹CWI研究所與谷歌公司過去兩年中的合作研究成果。我們總結了如何著手生成一個下文所介紹的碰撞。另外，作為本次攻擊活動的概念驗證證明，我們還發布了兩份具有相同 SHA-1哈希值但內容並不相同的PDF文件（點擊文末閱讀原文獲取鏈接）。

對於技術業界而言，我們的發現強調了避免使用SHA-1的必要性。谷歌公司多年來一直主張棄用SHA-1方案，特別是在TLS證書籤署等場景之下。早在2014年，Chrome小組就宣布將逐漸淘汰對SHA-1的使用。我們希望自己針對SHA-1完成的實際攻擊能夠進一步鞏固這一結論，讓更多人意識到其已經不再安全可靠。

我們亦希望這一針對SHA-1的實際攻擊案例能夠最終說服整個技術業界儘快轉向更為安全的替代性方案，例如SHA-256。

加密散列碰撞是什麼？

當兩組不同的數據——可以作為文件、二進位文件或者網站證書存在的哈希值如上圖所示具有相同的摘要內容時，即視為二者發生碰撞。實際上，安全的散列函數不應存在這種碰撞現象。然而，在使用SHA-1等存在一定缺陷的散列演算法的情況下，擁有充裕資源的攻擊者確實能夠實現這種碰撞結果。攻擊者隨後可以利用碰撞欺騙依賴於散列機制的系統，引導後者將原本的良性文件替換為擁有同樣摘要的惡意文件——例如兩份內容完全不同的保險合同。

尋找SHA-1碰撞

2013年，Marc Stevens曾發表一篇論文，專門介紹了創建SHA-1碰撞的理論性方法。我們首先創建了一份專門作的PDF前綴，用以生成兩份擁有任意不同內容的文檔，但二者同時具備相同的SHA-1摘要。不過要在實踐中重現這種理論性攻擊，我們必須克服一系列新的挑戰。此後，我們利用谷歌的技術專長與雲基礎設施計算碰撞情況，這也是我們截至目前已完成的規模最大的計算任務之一。

• 總計900萬兆（即百萬的五次冪，具體為9,223,372,036,854,775,808）次SHA1計算。
• 要完成攻擊的首個階段需要單一CPU計算6500年。
• 要完成攻擊的第二階段需要單一GPU計算110年。

雖然這些數字看似非常巨大，但SHA-1破壞性攻擊的速度仍然較暴力破解攻擊快10萬倍，這意味著前者確實具有可行性。

降低SHA-1碰撞風險

著眼於未來，安全從業者比以往更為迫切地需要轉而使用更加安全的加密散列演算法，例如SHA-256與SHA-3。根據谷歌公司的漏洞披露政策，我們將在發布代碼之前等待90天，且允許任何創建兩份擁有相同SHA-1散列摘要但圖像內容彼此不同的PDF文檔，同時遵循一部分前提條件。為了防止此類攻擊手段被主動使用，我們為Gmail及G Suite用戶提供額外的保護措施，供其檢測我們的PDF碰撞技術。另外，我們也在為公眾提供一套免費的檢測系統。

關於本團隊

此項成果為CWI研究所與谷歌安全、隱私與反濫用研究小組間長期合作的產物。

Marc Stevens與Elie Bursztein 率先合作利用谷歌基礎設施並根據Marc提出的SHA-1加密攻擊理論進行相關實踐。 Ange Albertini 負責此PDF攻擊的具體開發工作，Pierre Karpman 負責密碼分析與GPU實現工作，Yarik Markov 負責分散式GPU代碼編寫，Alex Petit Bianco 負責構建碰撞檢測工具以保護谷歌用戶，Clement Baisse則負責監督相關計算任務的可靠性。

谷歌安全團隊博客原文：https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html

安全新聞

• 通殺22種CPU，一分半破解ASLR
• 蘋果安卓微軟系統都不安全了？史上最難修復的漏洞爆出
• 方程式再曝0day漏洞：超84萬思科設備受影響
• 又一款奇特的勒索軟體：只要閱讀兩篇有關勒索軟體的文章，就可以解鎖！
• 史上導致數百萬美元損失的10大計算機漏洞
• 阿里雲分享：Redis CSRF漏洞分析及雲Redis安全措施介紹
• Java & Python 未修復漏洞導致跨越防火牆大混亂

推薦閱讀：